⚠ DRAFT — to be reviewed by the publisher. This document was prepared automatically based on the technical practices of the Splitoll app. The publisher (Daniil Ostrogradskii, t/a "AllMobile") must read it carefully, confirm or adjust each statement, and only then file the same text in the Google Play Console Data-safety section and pass legal review. Nothing on this page should be treated as legal advice.
Splitoll is built privacy-first: no email, no phone number, no social login, no ads, no advertising trackers. This page tells you, in plain language, what data the app touches and what it does not. Contact: splitoll-support@allmobile.app.
1. Who runs Splitoll
Splitoll ("we", "the app") is operated by Daniil Ostrogradskii, an individual, doing business under the trade name "AllMobile". For all privacy questions and data-protection requests, write to splitoll-support@allmobile.app.
2. The short version
- You can use Splitoll without an account, without an email, and without giving us your name.
- We do not show ads, we do not embed advertising trackers, and we do not sell your data.
- The app stores your expenses locally on your device first. Data is sent to our server only when you create or join a shared group, or use one of the optional cloud features (subscriptions, exchange rates, AI receipt parsing).
- You can wipe everything we hold for your device at any time: Settings → Backup → Wipe all data.
3. How Splitoll identifies your device
The first time you launch Splitoll, the app generates two things on your device:
- A random anonymous device identifier (a UUID, e.g.
4fd58323-dfe7-4fb6-9b79-72bd82c27cf8). This is the only handle our server has for you.
- An Ed25519 cryptographic keypair used to sign sync requests. The private half never leaves your device.
We never receive or store passwords, real names, emails, phone numbers, government IDs, or any other personal identifier. If you reinstall the app or change devices, a new random ID is generated and you are treated as a new user.
4. What data is stored on your device only
Splitoll stores almost all of its data locally on your device, in a SQLite database managed by the Drift library. This local database contains:
- The groups, members, and expenses you have created or imported.
- Amounts, currencies, dates, and free-text descriptions you typed in.
- Photos of receipts (if you attached any).
- Your local app settings.
This data never leaves your device unless you actively use one of the features described in Section 5 below. Deleting the app from your device deletes this data.
5. What data our server (api.splitoll.net) receives
5.1 Group sync (when you create or join a shared group)
To let several devices share the same group, the app sends to api.splitoll.net:
- Your anonymous device ID and the public half of your Ed25519 key (Section 3).
- The group ID, the list of member IDs in the group, and the expense rows of the group (amount, currency, description, timestamps, member who paid, members who shared).
- Receipt images you attached to expenses inside a synced group.
If you do not share groups, no expense data is sent.
5.2 Currency exchange rates
Splitoll lets you record expenses in multiple currencies and shows them in your home currency. To do that, the app periodically downloads exchange-rate snapshots from third-party public exchange-rate APIs via our server. These rate requests do not contain any of your data — they only ask "give me today's rates" and cache the result locally. You can disable this in Settings → Currency rates.
5.3 Pro subscriptions (Google Play + Adapty)
If you subscribe to Splitoll Pro inside the app, the payment goes through Google Play Billing and the subscription state is managed by Adapty Inc., a third-party subscription-analytics provider we use to verify your Pro status. Adapty receives:
- Your anonymous device ID (the same UUID from Section 3) so it can recognise your subscription on each launch.
- The subscription product you bought, its price, currency, country (as reported by Google), and the subscription's start/expiry/renewal timestamps.
- Standard technical metadata from Google Play Billing (purchase token, product SKU).
Adapty does not receive your expenses, your group data, your screen activity, your contacts, your location, your name, or your email. Its purpose is purely to validate that the device behind the anonymous ID is entitled to Pro features. Adapty's own privacy policy: adapty.io/privacy.
5.4 AI receipt parsing (Pro, opt-in)
If you enable cloud-assisted receipt parsing (a Pro feature), the receipt photo you point at is sent to our server, which calls a large-language-model provider on your behalf and returns the parsed amount/items. You can keep this off and the app will fall back to fully on-device OCR.
5.5 Transient server logs
Our server keeps standard request logs (IP address, request path, response code, timestamp) for up to 7 days for abuse prevention and stability. These logs are not used to profile you and are not joined with your synced data.
6. What we do NOT collect
- No email address, phone number, real name, or government ID.
- No contacts list, calendar, SMS, or call log.
- No precise or approximate location.
- No advertising ID, no SDK-based behavioural analytics (Mixpanel/Amplitude/Firebase Analytics are not embedded).
- No screen recordings, no clickstream telemetry, no crash reports tied to a personal identifier.
7. Where data is stored and who can access it
- Your local data: only on your device.
- Synced group data: stored on a single server in Hetzner's Helsinki data centre, Finland (EU/EEA), in a SQLite database (
splitoll.db).
- Subscription state: stored by Adapty Inc. (subject to Adapty's own privacy policy and Google's Data Processing Addendum).
- Daily encrypted backups of the server's SQLite database are mirrored к а second EU data centre (Selectel, Kazakhstan region) and to а Hetzner Storage Box for disaster recovery.
- Only the operator (the developer of Splitoll) has access to the server.
8. Encryption
- In transit: every connection between the app and
api.splitoll.net uses HTTPS / TLS 1.3 with certificates issued by Let's Encrypt. Plain-HTTP fall-back is disabled in the app.
- Sync request integrity: each sync request is signed by your device's Ed25519 private key (see Section 3); the server verifies the signature before accepting the payload.
- At rest: the local SQLite database on your device is encrypted at rest (sqlcipher-equivalent) on devices that ship full-disk encryption (most modern Android phones since Android 7). Server-side, the SQLite database is stored on encrypted disk; backups are encrypted with a separate per-host key.
9. Retention & deletion
- Local data stays on your device until you delete it or uninstall the app.
- Synced data stays on the server while your anonymous device ID remains active.
- After you request deletion (Section 10), all server-side data linked к your anonymous ID is purged within 30 days.
- Transient server logs are deleted after 7 days.
- Subscription state at Adapty is retained per Adapty's own retention policy; you can also request deletion directly from Adapty.
10. How to delete your data
Two paths, both work without contacting us:
- In the app:
Settings → Backup → Wipe all data. This clears the local database AND fires а sync-time delete request к the server.
- On the web: follow the steps at splitoll.net/account-deletion.
You can also email splitoll-support@allmobile.app with the first 12 characters of your anonymous device ID (Settings → About → Device ID), and we will delete the server-side data linked к that ID within 30 days.
Because Splitoll is anonymous-first, your anonymous device ID is the only handle we have on you. If you have lost it, our server cannot match а deletion request to your data — it will be purged automatically after а long period of inactivity instead.
11. Children
Splitoll is intended for users aged 13 and older. We do not knowingly collect data from children under 13. If you believe а child has used Splitoll without parental consent, write to us and we will delete any associated data.
12. Your rights (GDPR / UK GDPR / similar)
If you are in the EU, EEA, UK, or another jurisdiction with comparable data-protection law, you have the right to:
- Access the data we hold linked to your anonymous device ID.
- Rectify incorrect data (in practice the app lets you edit everything directly).
- Delete that data (Section 10).
- Port that data — request a JSON export.
- Restrict or object to processing.
- Withdraw consent for sync or any optional cloud feature at any time by turning it off in the app.
- Complain to your local data-protection authority.
To exercise any of these rights, contact splitoll-support@allmobile.app. We respond within 30 days.
13. International data transfers
Synced data is processed and stored in the EU/EEA (Helsinki, Finland). Subscription processing involves Google LLC (United States, payments via Google Play) and Adapty Inc. (United States); transfers к those providers are covered by Standard Contractual Clauses and the providers' respective Data Processing Addenda.
14. Changes к this policy
If we change this policy in а way that affects you, we will update the "Effective date" at the top of this page and bump the version. Significant changes will also be announced in the app and / or by email to support correspondents.
⚠ ЧЕРНОВИК — требует вычитки издателем. Этот документ подготовлен автоматически на основе технических практик приложения Splitoll. Издатель (Даниил Острогорадский, t/a "AllMobile") обязан вычитать каждый пункт, подтвердить или скорректировать формулировки, и только затем подавать тот же текст в раздел Data Safety консоли Google Play и проводить юридическую проверку. Текст на этой странице не является юридической консультацией.
Splitoll построен по принципу privacy-first: без email, без номера телефона, без логина через соцсети, без рекламы, без трекеров. Здесь простым языком описано, какие данные приложение трогает, а каких — нет. Контакт: splitoll-support@allmobile.app.
1. Кто отвечает за Splitoll
Splitoll (далее «мы», «приложение») управляется Даниилом Острогорадским, физическим лицом, работающим под торговым именем «AllMobile». По всем вопросам конфиденциальности и запросам по защите данных — пишите на splitoll-support@allmobile.app.
2. Коротко
- Splitoll можно использовать без аккаунта, без email, без имени.
- Никакой рекламы, никаких рекламных трекеров, никакой продажи данных.
- Сначала траты хранятся локально у вас на устройстве. На сервер данные попадают только когда вы создаёте/присоединяетесь к общей группе или используете опциональные облачные функции (подписка, курсы валют, AI-разбор чеков).
- Удалить всё, что есть у нас, можно в любой момент: Настройки → Резервная копия → Стереть все данные.
3. Как Splitoll идентифицирует ваше устройство
При первом запуске приложение создаёт у вас на устройстве:
- Случайный анонимный идентификатор устройства (UUID, например
4fd58323-dfe7-4fb6-9b79-72bd82c27cf8). Это единственный «крючок», по которому сервер вас узнаёт.
- Криптопару Ed25519 для подписи sync-запросов. Приватная часть не покидает устройство.
Мы не получаем и не храним пароли, имена, email, номера телефонов, паспортные данные или иные идентификаторы личности. При переустановке приложения или смене устройства генерируется новый случайный ID — для нас это новый пользователь.
4. Что хранится только у вас на устройстве
Почти все данные Splitoll хранит локально в SQLite-базе, управляемой библиотекой Drift. Эта локальная база содержит:
- Группы, участников и траты, которые вы создали или импортировали.
- Суммы, валюты, даты и свободный текст описаний, который вы ввели.
- Фото чеков (если прикрепляли).
- Локальные настройки приложения.
Эти данные не уходят с устройства, пока вы не используете одну из функций раздела 5 ниже. Удаление приложения = удаление этих данных.
5. Что получает наш сервер (api.splitoll.net)
5.1 Sync группы (когда вы создаёте или присоединяетесь к общей группе)
Чтобы несколько устройств видели одну группу, приложение отправляет на api.splitoll.net:
- Ваш анонимный device ID и публичную часть Ed25519 ключа (раздел 3).
- ID группы, список member-ID участников, строки трат (сумма, валюта, описание, временные метки, кто заплатил, кто разделил).
- Изображения чеков, если вы прикрепляли их к тратам в синхронизируемой группе.
Если вы не используете общие группы — данные трат не уходят.
5.2 Курсы валют
Splitoll позволяет фиксировать траты в разных валютах и показывать их в вашей основной валюте. Для этого приложение через наш сервер периодически скачивает срез курсов с публичных API курсов валют. Эти запросы не содержат ваших данных — они просто запрашивают «дайте сегодняшние курсы» и кэшируют ответ локально. Можно отключить в Настройки → Курсы валют.
5.3 Pro-подписки (Google Play + Adapty)
Если вы оформляете Splitoll Pro внутри приложения, оплата идёт через Google Play Billing, а состоянием подписки управляет Adapty Inc. — сторонний провайдер аналитики подписок, через которого мы проверяем ваш Pro-статус. Adapty получает:
- Ваш анонимный device ID (тот же UUID из раздела 3), чтобы узнавать подписку при каждом запуске.
- Купленный продукт подписки, цена, валюта, страна (как сообщил Google), временные метки старта/окончания/продления.
- Стандартные метаданные Google Play Billing (purchase token, product SKU).
Adapty не получает ваши траты, данные групп, активность на экранах, контакты, геолокацию, имя или email. Его задача — только подтвердить, что устройство за анонимным ID имеет право на Pro. Политика Adapty: adapty.io/privacy.
5.4 AI-разбор чеков (Pro, opt-in)
Если включить облачный AI-разбор чеков (Pro-функция), снятое вами фото чека уходит на наш сервер, который от вашего имени обращается к LLM-провайдеру и возвращает разобранную сумму/позиции. Эту функцию можно держать выключенной — тогда работает только on-device OCR.
5.5 Транзитные серверные логи
Сервер хранит стандартные логи запросов (IP-адрес, путь запроса, код ответа, временная метка) до 7 дней для защиты от злоупотреблений и стабильности. Эти логи не используются для построения профиля пользователя и не объединяются с sync-данными.
6. Что мы НЕ собираем
- Никаких email, телефонов, реальных имён, паспортных данных.
- Никаких контактов, календаря, SMS, истории звонков.
- Никакой геолокации (ни точной, ни приблизительной).
- Никаких advertising ID, никакой поведенческой SDK-аналитики (Mixpanel/Amplitude/Firebase Analytics — не встроены).
- Никаких записей экрана, никаких clickstream-данных, никаких crash-отчётов, привязанных к личности.
7. Где данные хранятся и кто имеет доступ
- Локальные данные — только у вас на устройстве.
- Синхронизированные данные группы — на одном сервере в дата-центре Hetzner в Хельсинки, Финляндия (EU/EEA), в SQLite-базе
splitoll.db.
- Состояние подписки — у Adapty Inc. (согласно их политике и DPA Google).
- Ежедневные шифрованные бэкапы серверной базы зеркалируются во второй ДЦ в EU (Selectel, регион Казахстан) и на Hetzner Storage Box для disaster recovery.
- Доступ к серверу есть только у оператора (разработчика Splitoll).
8. Шифрование
- В транзите: каждое соединение приложения с
api.splitoll.net — HTTPS / TLS 1.3, сертификаты Let's Encrypt. Plain-HTTP fall-back отключён.
- Целостность sync-запросов: каждый sync-запрос подписан приватным Ed25519-ключом устройства (раздел 3); сервер проверяет подпись перед приёмом.
- В покое: локальная SQLite-база на устройстве зашифрована (sqlcipher-эквивалент) на устройствах с full-disk encryption (большинство современных Android-телефонов с Android 7+). На сервере SQLite-база лежит на шифрованном диске; бэкапы шифруются отдельным per-host ключом.
9. Хранение и удаление
- Локальные данные хранятся до удаления вами или удаления приложения.
- Синхронизированные данные хранятся на сервере, пока ваш анонимный device ID активен.
- После запроса удаления (раздел 10) все серверные данные, привязанные к вашему ID, стираются в течение 30 дней.
- Транзитные серверные логи удаляются через 7 дней.
- Состояние подписки в Adapty хранится по их политике; удалить можно и напрямую через Adapty.
10. Как удалить данные
Два способа, оба работают без обращения к нам:
- В приложении:
Настройки → Резервная копия → Стереть все данные. Очищает локальную базу И отправляет sync-запрос на удаление на сервер.
- На сайте: следуйте инструкциям на splitoll.net/account-deletion.
Можно также написать на splitoll-support@allmobile.app, указав первые 12 символов анонимного device ID (Настройки → О приложении → Device ID), и мы удалим серверные данные за этим ID в течение 30 дней.
Так как Splitoll анонимный, анонимный device ID — единственный наш «крючок» на вас. Если он утерян, сервер не сможет сопоставить запрос с вашими данными — они будут удалены автоматически после долгого периода неактивности.
11. Дети
Splitoll предназначен для пользователей 13 лет и старше. Мы сознательно не собираем данные детей младше 13. Если есть основания полагать, что ребёнок использовал Splitoll без согласия родителей — напишите нам, мы удалим связанные данные.
12. Ваши права (GDPR / UK GDPR / аналогичные)
Если вы в EU, EEA, UK или другой юрисдикции со сходным регулированием, у вас есть право:
- Доступа к данным, привязанным к вашему анонимному device ID.
- Исправления неверных данных (на практике приложение позволяет редактировать всё напрямую).
- Удаления данных (раздел 10).
- Переноса — запрос JSON-экспорта.
- Ограничения или возражения против обработки.
- Отзыва согласия на sync или любую опциональную облачную функцию — просто выключив её.
- Подачи жалобы в местный орган по защите данных.
Реализовать любое из этих прав — пишите на splitoll-support@allmobile.app. Ответ в течение 30 дней.
13. Международные передачи данных
Синхронизированные данные обрабатываются и хранятся в EU/EEA (Хельсинки, Финляндия). Обработка подписок задействует Google LLC (США, оплата через Google Play) и Adapty Inc. (США); передачи к этим провайдерам покрыты Standard Contractual Clauses и их DPA.
14. Изменения политики
Если мы меняем эту политику так, что это вас касается, мы обновляем «Дату вступления в силу» наверху страницы и поднимаем версию. Существенные изменения также анонсируются в приложении и/или по email тем, кто переписывался с поддержкой.